
	En este capítulo se tratarán los aspectos relacionados con la seguridad del software desarrollado y/o utilizado internamente, y la prevención, detección y diagnóstico del software malicioso. También se tratarán los aspectos relacionados con el hardware de los activos de la organización.

	Para los aspectos de desarrollo de software, se puede tomar como guía en la sección de desarrollo las recomendaciones de las transparencias y los informes CWE más relevantes, posiblemente integrándolos en las revisiones periódicas del código, si se desean implantar.

	Habrá que analizar los riesgos que supone el software malicioso, y en base a ellos plantear las debidas medidas de prevención, detección y recuperación.

\section{Identificación y autenticación}

	Deberán implementarse procedimientos que impedirán el acceso no autorizado a la información, así como controlar la asignación de privilegios de acceso a los sistemas, datos y servicios de información.

	Como primera medida, los usuarios deberá estar registrados para poder hacer uso de alguna de las aplicaciones o sistemas. Será el responsable de seguridad quien definirá los pasos que deberá seguir el procedimiento de registro de usuarios. Este procedimiento será necesario para otorgar y revocar el acceso a los sistemas, bases de datos y servicios de información por parte de los usuarios. La identificación y autenticación deberá cumplir unos requisitos mínimos:

	\begin{itemize}
	\item Usar identificadores para los usuarios únicos, para poder registrar las acciones que realiza cada usuario de forma inequívoca, evitando múltiples perfiles de acceso para un mismo empleado.
	\item Verificar que el usuario tiene autorización para el uso de sistemas, bases de datos o servicios de información.
	\item Verificar que es correcto el nivel de acceso otorgado en relación al propósito de las necesidades del usuario.
	\item Mantener un registro actualizado de los usuarios registrados con acceso a los distintos servicios.
	\item Revocar los privilegios que ya no sean necesarios en el cumplimiento de los propósitos de los usuarios.
	\item Incluir sanciones en caso de que el personal intente o favorezca accesos a los servicios no autorizados.
	\end{itemize}

	Las contraseñas serán reguladas según un proceso de administración en el que se respetará lo siguiente:

	\begin{itemize}
	\item Los usuarios firmarán una declaración en la que se comprometen a mantener sus contraseñas en secreto.
	\item Se debe cumplir que los usuarios cambien sus contraseñas que les fueron asignadas inicialmente. Las contraseñas provisionales, suministradas cuando un usuario olvida su contraseña, sólo se suministrará cuando el usuario correctamente esté identificado.
	\item Las contraseñas provisionales deberán ser seguras. Se evitará el uso de correos electrónicos sin protección en la entrega de esta y los usuarios darán acuse de recibo.
	\item Los sistemas deben estar configurados de forma que:
		\begin{itemize}
		\item Las contraseñas tendrán un mínimo de 8 caracteres.
		\item Tras tres intentos de acceso con una contraseña incorrecta se bloqueará el acceso al usuario durante una hora.
		\item Se realizará un cambio de contraseñas aproximadamente cada 91 días (cada tres meses).
		\item No se podrán reutilizar las últimas 10 contraseñas.
		\item Las contraseñas tendrán una vida mínima de 5 días.
		\end{itemize}
	\end{itemize}


\section{Registro de accesos}

	Deberán implementarse procedimientos para monitorizar el uso de las instalaciones de la empresa, con el objetivo de garantizar que los usuarios sólo realizen actividades para las que estén autorizados.	Los empleados deberán tener conocimiento de las normas de uso de los recursos informáticos y que según sus actividades pueden llegar a ser objeto de control.

	Para llevar a cabo esta monitorización se crearán registros de auditoría en el que se registrarán los eventos relativos a la seguridad. Estos registros incluirán:

	\begin{itemize}
	\item Identicicación del usuario.
	\item Fecha y Hora de inicio y finalización de la actividad.
	\item Identidad o ubicación de la terminal.
	\item Registro de intentos exitosos y fallidos del sistema.
	\item Registro de intentos exitosos y fallidos de acceso a datos y otros recursos.
	\end{itemize}

	Los registros de auditoría se archivarán en un equipo distinto al que los genere. A este equipo sólo podrá acceder el responsable de seguridad.

	También existirá un procedimiento de revisión de los registros de auditoría, orientado a producir informes sobre las amenazas detectadas y los métodos de seguridad usados. La frecuencia con la que se realizen estas revisiones será definida por el responsable de seguridad informática. Además, el responsable de seguridad dispondrá de herramientas que permitan llevar a cabo un control sobre los registros de auditoría.

	Estas herramientas de registro contarán con controles de acceso, que garantizen que no ocurrirá:

	\begin{itemize}
	\item La desactivación de la herramienta de auditoría.
	\item La alteración de las entradas del registro.
	\item La edición o supresión de archivos de registro.
	\item Una falla en los registros de los eventos.
	\end{itemize}

\section{Protección ante software malicioso}

	El Responsable de Seguridad definirá los métodos para detectar y prevenir software malicioso y mantener la seguridad. Además desarrollará los procedimientos a través de los que se impartirá a los empleados lo referente a la seguridad, controles de acceso al sistema, registro de cambios, etc.

	El responsable del área informática (Jefe de Proyecto) será el encargado de implantar esta seguridad en todos los equipos informáticos que pertenecen a la empresa.

	Los controles deben considerar las siguientes acciones:

	\begin{itemize}
	\item Prohibir el uso de software no autorizado por la empresa.
	\item Actualizar periódicamente el software de detección de software malicioso, examinado equipos y medios informáticos, como medida preventiva y rutinaria.
	\item Mantener los sistemas actualizados para mejorar la seguridad (probar previamente las actualizaciones en un entorno de prueba, si es que constituyen cambios críticos en los sistemas).
	\item Revisar periódicamente el software y los datos de los equipos que se encarguen de procesos críticos en la organización, investigando la presencia de archivos o modificaciones no autorizados.
	\item Comprobar la inexistencia de software malicioso en archivos electrónicos de origen desconocido o recibidos a través de redes no confiables.
	\item Solo usar software original, nunca copias piratas.
	\item Evitar el uso del usuario root en la medida de lo posible.
	\item Concienciar al personal acerca de los riesgos de los falsos virus (hoax) y de cómo proceder frente a los mismos.
	\end{itemize}

\section{Uso aceptable de los equipos}

	Todos los empleados de la empresa han de cumplir unas normas de uso de los equipos que posee la empresa. Entre los equipos podemos distinguir servidores, estaciones de trabajo para el desarrollo de proyectos y estaciones de trabajo para contabilidad y para los comerciales.

	\begin{itemize}
	\item Las estaciones de trabajo para desarrollo serán usadas por programadores, analistas, administradores de BBDD y de Sistemas. Cada empleado que cumpla alguno de estos roles tendrá uno o varios equipos asignados y deberá trabajar con ellos, excepto en el caso de que exista algún impedimento.
	\item Las estaciones de trabajo para los ejercicios de contabilidad y para los comerciales serán usados por los empleados de estos departamentos. Solo serán usados para estos objetivos. En este caso no existe un equipo asignado a cada empleado ya que la información que usarán es compartida por todos los equipos.
	\item A los servidores solo podrán acceder los encargados de la seguridad, jefes de proyecto o el administrador de sistemas. Estos equipos son delicados y solo podrán ser usados de forma eventual por empleados autorizados. Los servidores no deben ser usados como el resto de equipos, solo se utilizarán para tareas concretas de administración o configuración.
	\end{itemize}

\section{Gestión de soportes}

	El Responsable de Seguridad y el responsable del área informática deben implementar procedimientos que serán utilizados en la administración de medios informáticos removibles (cintas, discos e informes impresos).

	Para tal fin se deben de considerar las siguientes acciones:

	\begin{itemize}
	\item Los contenidos de cualquier medio que haya utilizado la empresa y que ya no sean necesarios deben poder ser eliminados de forma segura.
	\item Para retirar cualquier medio del edificio o edificios en los que se encuentra la empresa deberá registrarse este acto en una auditoría.
	\item Todos los medios deben encontrarse en un ambiente seguro y protegido, de acuerdo con las especificaciones de los fabricantes. Además, todos los medios deben estar identificados e inventariados. La identificación se realizará mediante etiquetas que no describan explícitamente el contenido del medio. El inventario deberá contener cierta información sobre el medio. En concreto incluirá el tipo de información que este contiene, la fecha de adquisición, fecha y motivo en el que se dio de baja (en caso de haber ocurrido).
	\end{itemize}

	En caso de querer eliminar o reutilizar soportes o equipos, el personal técnico se asegurará de que no se mantiene información almacenada previamente, y también deberá solicitar autorización al responsable de seguridad informática.

	Cuando se vayan a destruir los soportes, el personal se asegurará, mediante destrucción física, que no se mantiene información en dichos soportes. El formateo lógico no es suficiente para garantizar que la información no sea recuperada, procediendo a la realización de un formateo físico a bajo nivel o a su destrucción. En el caso de copias o reproducciones en papel deberá procederse a su destrucción (máquinas de destrucción, trituradoras de papel) de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior.

